摘要： 企业网络信息安全的建设，是一个不断改进完善的过程（PDCA过程）。下面基于作者（_U2_）的工作实践，探讨一下信息安全建设方面的依据、方法论和交付成果。一、依据企业网络信息安全建设的主要依据有：（1）企业的信息安全策略和安全态势，且安全策略随着安全态势与产业环境的变化而变化；（2）来自管理层、业务部... 阅读全文

摘要： 企业为什么要建设网络信息安全，这就要看看建设网络信息安全到底有什么收益。网络信息安全的收益到底是什么呢？有人说不就是保护信息资产，减少损失嘛。但实际上，网络信息安全建设的收益远不止如此。首先，信息安全是企业文化的重要组成部分，它代表的是尊重知识产权的宣言，倡导的是劳动创造价值的正能量。对内部员工以及管理员而言，在这种文化氛围的影响和熏陶下，减少了主动或被动泄密的可能，为窃取企业知识产权的行为产生厌恶感；对外部潜在的竞争者或入侵者，它代表的是一种捍卫知识产权的宣言，有助于形成一定的威慑力，减少入侵事件，倡导公平有序的竞争。其次，是保护核心的信息资产不被当前或潜在的竞争对手窃取，进行针对性防御，形 阅读全文

摘要： 默认情况下，Mac OS X Mountain Lion 10.8.X 只有一个自定义名称的用户，这个账号通过sudo命令并输入自己的密码，可以以管理员身份执行操作。如果需要切换到root身份，且之前没有使用过root账号，需要重设root密码：$sudo su输入当前账户的密码，就可以切换到root身份了，这时继续：#passwd root会提示重设root密码。退出后，su测试一下，OK 。 阅读全文

摘要： 与普通应用相比，BYOD由于存在客户端软件，以及“记住密码”功能通常会启用，因此对于口令或认证凭据的保护成为区别于传统应用的重中之重。一般常见的问题是将用户的口令明文存在手机应用的配置文件中，或虽然使用加密存储但加密密钥也是存在于手机中的。鉴于此，手机客户端不建议保存用户口令（即使加密后存储也不建议），如果需要保存认证凭据，可考虑的做法：（1） 记住硬件ID，作为对设备或使用人的辅助认证；（2） 首次认证使用口令，但口令需要使用服务器公钥进行加密，建立会话前应验证证书的有效性防止中间人劫持；后续的免输密码认证，不靠口令，而是类似SESSION_ID的一个字段，加密存储（可选对称加密或使用服务器 阅读全文

摘要： CAP stands forConsistency,Availability, andPartition tolerance. The theorem simply states that any shared-data systemcan only achieve two of these three. Consistency(all nodes see the same data at the same time) Availability(a guarantee that every request receives a response about whether it was... 阅读全文

摘要： 跨站请求伪造漏洞由恶意用户利用其在第三方网站留下的可以自动提交的HTTP请求，并借用目标网站合法用户的会话（假冒合法用户身份），自动提交请求。例如用户登录网站A之后 认证方式由 对人的认证（账号/口令）转换成了 对浏览器的认证（session），后面的HTTP Request，只要还是通过当前的浏览器触发的，不管是出自用户的手工提交，还是第三方网站B的恶意请求（假设为嵌入第三方网站B的虚假图片，图片链接为 对A网站的敏感操作http://A/action.do?action=confidential ），在会话持续有效的情况下，如果用户访问了网站B，则请求会由浏览器自动提交给应用A。简言之，跨 阅读全文

摘要： SQL注入的原理，网上文章较多，就不展开了。简言之，将用户提交过来的参数和SQL关键字一起拼接出来的SQL语句是不安全的，如果采用拼接且服务器侧没有对提交过来的参数进行合法性验证或过滤，导致原有SQL语句的语义被改变，或改变查询条件，或追加语句执行恶意操作等等。下面说说SQL注入的防御措施：最佳实践... 阅读全文

摘要： 云安全的含义有以下几种：第一种是最常见的各种云计算系统（IaaS、PaaS、SaaS）的安全性，由于虚拟化技术的应用和部署位置的变化，安全风险有了新的分布，主要面临的风险有：虚拟化产品（IaaS领域的HyperVisor、PaaS领域的Hadoop等）的0Day漏洞；虚拟化网络边界的延伸与访问控制，如绕过访问网关、多租户之间的互访隔离；传统的安全风险如SQL注入、跨站脚本等Web漏洞；各种镜像模板的完整性遭受破坏等。第二种是利用云计算技术来构建安全系统，如防病毒领域的云查杀、云联动的防火墙；第三种是以提供安全功能为主体的云设施、平台或服务，如用于安全认证的OAuth服务、加密解密的Web Se 阅读全文

摘要： 关键字：软件定义的数据中心SDDC、网络虚拟化NSX1 简介VMWare虚拟化及云计算年度盛会vForum 于2013年10月30-31日，在北京国际饭店会议中心召开。本次大会主题为"颠覆传统"。VMware的技术领袖同与会嘉宾探讨其在计算、存储、网络虚拟化等方面的最新技术和客户实践。现场安排VMware产品展示区和动手实验室。在今日大会中第四次发布了VMware年度云成熟度指数。根据Forrester Consulting公司提供的《2013年VMware云成熟度指数》调查结果显示，IT已经完成了最初的转型阶段，开始通过软件定义的方式为IT服务、管理和配置提供更高的商业价 阅读全文